申請免費(fèi)試用、咨詢電話:400-8352-114
首先,查看system.ini、win.ini、啟動組中的啟動項目。由“開始→運(yùn)行”,輸入msconfig,運(yùn)行Windows自帶的“系統(tǒng)配置實用程序”。 第一步我們可以查看system.ini文件,選中“System.ini”標(biāo)簽,展開[boot]目錄,查看“shell=”這行,正常為“shell=Explorer.exe”,如果不是這樣,就可能中了木馬了。
第二步就是查看win.ini文件,選中win.ini標(biāo)簽,展開[Windows]目錄項,查看“run=”和“l(fā)oad=”行,等號后面正常應(yīng)該為空。
第三步就是查看啟動組,看看啟動標(biāo)簽中的啟動項目,有沒有什么非正常項目?要是有象netbus、netspy、bo等關(guān)鍵詞,極有可能就是木馬了。
我們一般都將啟動組中的項目保持在比較精簡的狀態(tài),不需要或無大用途的項目都屏蔽掉了。只是選中了與注冊表檢查、音量控制、輸入法和能源保護(hù)相關(guān)的啟動欄。到時要是有木馬出現(xiàn),自是一目了然。
第四步就是查看注冊表,由“開始→運(yùn)行”,輸入regedit,確定就可以運(yùn)行注冊表編輯器。再展開至:“HKEY-LOCAL-MACHINESoftware Microsoft WindowsCurrentVersionRun”目錄下,查看鍵值中有沒有自己不熟悉的自動啟動文件項目,比如netbus、netspy、netserver等的單詞。注意,有的木馬程序生成的服務(wù)器程序文件很像系統(tǒng)自身的文件,想由此偽裝蒙混過關(guān)。比如Acid Battery木馬,它會在注冊表項“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindows CurrentVersionRun”下加入Explorer=“C:Windowsexpiorer.exe”,木馬服務(wù)器程序與系統(tǒng)自身的真正的Explorer之間只有一個字母的差別!
然后我們通過類似的方法對下列各個主鍵下面的鍵值進(jìn)行檢查:
HKEY-LOCAL-MACHINESoftware MicrosoftWindowsCurrentVersionRunOnce
HKEY-LOCAL-MACHINESoftware MicrosoftWindowsCurrentVersionRunOnceEx
HKEY-LOCAL-MACHINESoftware MicrosoftWindowsCurrentVersionRunServices
HKEY-LOCAL-MACHINESoftware MicrosoftWindowsCurrentVersionRunServicesOnce
如果操作系統(tǒng)是Windows NT/2000,還得注意HKEY-LOCAL-MACHINESoftware SAM下面的內(nèi)容,如果有項目,那極有可能就是木馬了。正常情況下,該主鍵下面是空的。當(dāng)然在注冊表中還有很多地方都可以隱藏木馬程序,上面這些主鍵是木馬比較常用的隱身之處。除此之外,象HKEY-CURRENT-USERSoftwareMicrosoft WindowsCurrentVersionRun、HKEY-USERS****SoftwareMicrosoftWindowsCurrent VersionRun的目錄下都有可能成為木馬的藏身之處。最好的辦法就是在HKEY-LOCAL-MACHINESoftware MicrosoftWindows CurrentVersionRun或其他主鍵下面找到木馬程序的文件名,再通過其文件名對整個注冊表進(jìn)行全面搜索就知道它有幾個藏身的地方了。
如果有留意,你會發(fā)現(xiàn)注冊表各個主鍵下都會有個叫“(默認(rèn))”名稱的注冊項,而且數(shù)據(jù)顯示為“(未設(shè)置鍵值)”,也就是空的,這是正常現(xiàn)象。如果發(fā)現(xiàn)這個默認(rèn)項被替換了,那么替換它的就是木馬了。